Cheval de Troie AZORult Utilisé dans des Attaques Ciblées

La semaine dernière, les chercheurs de Zscaler ThreatLabZ ont publié un rapport sur une campagne massive visant les secteurs de la chaîne d’approvisionnement et du gouvernement au Moyen-Orient. Les cybercriminels ont envoyé des e-mails de phishing prétendant provenir d’employés de la Abu Dhabi National Oil Company (ADNOC) qui ont infecté les cibles avec le cheval de Troie AZORult.

Campagne Ciblée sur des organisations au Moyen-Orient

Les adversaires ont vu une opportunité d’utiliser les contrats résiliés par ADNOC en avril comme leurre, alors que les négociations sont activement en cours et que de nouveaux contrats sont en train d’être conclus.

La campagne a commencé en juillet et plusieurs organisations liées à la chaîne d’approvisionnement dans le secteur pétrolier et gazier ont reçu des e-mails de phishing avec des fichiers PDF d’apparence légitime contenant des liens vers des services de partage de fichiers légitimes hébergeant des archives ZIP malveillantes. L’archive contient un dropper qui télécharge et déploie le cheval de Troie AZORult sur la machine ciblée.

AZORult est un logiciel malveillant commercial connu depuis plus de 4 ans, il est donc difficile d’attribuer cette campagne à des acteurs de menace connus. Le cheval de Troie a une fonctionnalité de vol d’informations et a également la capacité d’installer des outils supplémentaires et de créer un compte administrateur caché permettant des connexions RDP au système infecté.

Détection du cheval de Troie AZORult

Nouvelle règle Sigma pour la chasse aux menaces communautaires publiée par Osman Demir permet aux solutions de sécurité de trouver des traces du cheval de Troie AZORult déployé lors de la campagne ciblée : https://tdm.socprime.com/tdm/info/haGwuszBAOO8/szlv_XQBR-lx4sDx1j_Y/?p=1

La règle a des traductions pour les plateformes suivantes :

SIEM : Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio

EDR : Carbon Black, Elastic Endpoint

MITRE ATT&CK :

Tactiques : Evasion de défense, Persistance

Techniques : Suppression d’indicateur sur l’hôte (T1070), Clés de registre Run / Dossier de démarrage (T1060)

Trouvez plus de contenu de détection pour découvrir le logiciel malveillant AZORult et les droppers associés sur Threat Detection Marketplace.

Prêt à essayer SOC Prime TDM ? Inscrivez-vous gratuitement. Ou rejoignez le programme Threat Bounty pour créer votre propre contenu et le partager avec la communauté TDM.